Politik for informationssikkerhed 1.2

Relaterede dokumenter
IT-SIKKERHEDSPOLITIK

IT-sikkerhedspolitik for

Informationssikkerhedspolitik. for Aalborg Kommune

Informationssikkerhedspolitik For Aalborg Kommune

INFORMATIONSSIKKERHEDS -POLITIK

Politik til sikring af UCN s digitale og papirbaserede informationsaktiver (it-sikkerhedspolitik)

Politik til sikring af UCN s digitale og papirbaserede informationsaktiver (itsikkerhedspolitik) Dokumentdato: 13. april 2010

Faxe Kommune. informationssikkerhedspolitik

Informationssikkerhedspolitik

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Assens Kommune Sikkerhedspolitik for it, data og information

Halsnæs kommune. Informationssikkerhedspolitik Oktober Informationssikkerhedspolitik Halsnæs kommune.

Indholdsfortegnelse Indledning Formål Omfang Holdninger og principper... 4

Hjørring Kommune. Overordnet I-sikkerhedspolitik for Hjørring Kommune

INFORMATIONS- SIKKERHEDSPOLITIK

Politik <dato> <J.nr.>

Informationssikkerhedspolitik for Horsens Kommune

It-anvendelsen i Langeland Kommune har til formål at understøtte kommunens overordnede visioner.

Staben IT-afdelingen Dato: Sagsnr: 12/24869 Dokumentnr: 3 Sagsbehandler: Steen Meyer Larsen. Organisering af informationssikkerhed

Overordnet informationssikkerhedsstrategi

IT-sikkerhedspolitik S i d e 1 9

MedComs informationssikkerhedspolitik. Version 2.2

Overordnet Informationssikkerhedsstrategi. for Odder Kommune

Fredericia Kommunes Informationssikkerhedspolitik 1 FREDERICIA KOMMUNE AFDELING TITEL PÅ POWERPOINT

IT-SIKKERHEDSPOLITIK FOR HOFFMANN BILER A/S

PSYKIATRIFONDENS Informationssikkerhedspolitik

IT-SIKKERHEDSPOLITIK UDKAST

Politik for informationssikkerheddatabeskyttelse

Informationssikkerhedspolitik Frederiksberg Kommune

Forfatter: Carsten Stenstrøm Mail: Telefon: IT Amerika Plads København Ø

Overordnet Informationssikkerhedspolitik

Ballerup Kommune Politik for databeskyttelse

Aabenraa Kommune. Informationspolitik. Udkast. Udkast:

Informationssikkerhedspolitik. Frederiksberg Kommune

Organisering og styring af informationssikkerhed. I Odder Kommune

Politik for Datasikkerhed

Region Hovedstadens Ramme for Informationssikkerhed

OVERORDNET IT-SIKKERHEDSPOLITIK

SKABELON FOR DATABEHANDLERAFTALER MELLEM FREDENSBORG KOMMUNE OG IT-LEVERANDØRER

Status for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2

Fællesregional Informationssikkerhedspolitik

Informationssikkerhedspolitik for Region Midtjylland

Ver. 1.0 GENTOFTE KOMMUNES INFORMATIONSSIKKERHEDSPOLITIK

Kommunens nuværende politik stammer fra 2008 og bygger på en gammel dansk standard, DS484.

Overordnet It-sikkerhedspolitik

Koncessionskontrakt vedr. ekspeditionen af pas, kørekort og øvrige borgerserviceopgaver. Københavns Kommune Kultur- og Fritidsforvaltningen.

Informationssikkerhedspolitik for <organisation>

Fællesregional Informationssikkerhedspolitik

Ikast-Brande Kommune. Informationssikkerhedspolitik (efterfølgende benævnt I-Sikkerhedspolitik) Maj 2016 Sag nr. 2015/06550

Overordnet it-sikkerhedspolitik for Rødovre Kommune

Vejledning i informationssikkerhedspolitik. Februar 2015

Informationssikkerhedspolitik for Sønderborg Kommune

Sikkerhedspolitik. Informationssikkerhedspolitik for DIFO og DK Hostmaster. DK Hostmaster. Godkendt Version / ID 11.1.

(hver for sig kaldet en "Part" og samlet "Parterne")

It-sikkerhedspolitik for Københavns Kommune

DFF-EDB a.m.b.a CVR nr.:

Bekendtgørelse om ændring af bekendtgørelse om ledelse og styring af pengeinstitutter m.fl.

Informationssikkerhed

POLITIK FOR INFORMATIONSSIKKERHED

1 Informationssikkerhedspolitik Hvorfor vil vi sikre vores informationer? Hvad dækker begrebet "informationer"? 2

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

LinkGRC GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK

Assens Kommune Politik for databeskyttelse og informationssikkerhed

BEK nr 529 af 02/05/2019 (Gældende) Udskriftsdato: 20. juni Senere ændringer til forskriften Ingen

Jyske Bank Politik for It sikkerhed

Skanderborg Kommune. ISMS-regler. Informationssikkerhedsregler for hvert krav i ISO. Udkast 27001:2017

IT- og informationssikkerheds- politik (GDPR) For. Kontrapunkt Group

IT-sikkerhedspolitik. for Social- og Sundhedsskolen Esbjerg

KOMBIT sikkerhedspolitik

Hillerød Kommune. It-sikkerhedspolitik Bilag 10. Beredskabsplanlægning

Aarhus Kommune. IT-sikkerhedspolitik. Politik

Bekendtgørelse om opgaver og ansvar for behandlingen af personoplysninger i det fælles datagrundlag for unges uddannelse og beskæftigelse

It-sikkerhedspolitik for Farsø Varmeværk

Databeskyttelsespolitik for DSI Midgård

Bilag 1 Databehandlerinstruks

Informationssikkerhedspolitik for Vejen Kommune

LANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED

Hillerød Kommune. IT-sikkerhedspolitik Bilag 2. Opfølgning på lovbestemte krav

Version: 1.0 Maj Informationssikkerhedspolitik for Struer Statsgymnasium

Databehandleraftale. Mellem. (den Dataansvarlige )

SOPHIAGÅRD ELMEHØJEN

Region Syddanmark Politik for it-sikkerhed Oktober 2009 Version 0.6

Vi har etableret et brancheledende informationssikkerhedsprogram. vores kunder den bedste beskyttelse og højeste grad af tillid.

INFORMATIONS- SIKKERHEDS- POLITIK

NOTAT. Køge Kommune It-sikkerhed Overordnede retningslinjer ITafdelingen. Fællesforvaltningen. Dato Sagsnummer Dokumentnummer

Præsentation af Curanets sikringsmiljø

EU-udbud af Beskæftigelsessystem og ESDHsystem

Beredskabspolitik for Dahmlos Security [OFF] Gyldig fra d INDLEDNING TILTAG FOR AT OPFYLDE POLITIKKENS FORMÅL...

Organisering og styring af Informationssikkerhed

1. Introduktion til SoA Indhold og krav til SoA 4

Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november

DFF EDB a.m.b.a. CVR-nr.:

Version: 1.2 Side 1 af 5

Ledelsen har sikret, at der er etableret en hensigtsmæssig itsikkerhedsorganisation

Indholdsfortegnelse. Generelt 3. Formål 3. Omfang 4. Sammenhæng med IT- og forretningsstrategier 4

Overordnet organisering af personoplysninger

DS 484:2005. Standard for informationssikkerhed -Korte uddrag fra DS484

Kontraktbilag 8. It-sikkerhed og compliance

Transkript:

Fredensborg Kommune Politik for informationssikkerhed 1.2 23-11-2017

Informationssikkerhedspolitik for Fredensborg Kommune Informationssikkerhedspolitik Sikkerhedspolitikken skal til enhver tid understøtte Fredensborg Kommunes værdigrundlag og vision samt strategiske mål. Hensigten med sikkerhedspolitikken er endvidere, at tilkendegive over for alle, som har en relation til Kommunen, at anvendelse af informationer og informationssystemer er underkastet standarder og retningslinier. Fredensborg Kommune ønsker derfor at opretholde og løbende udbygge, et IT-sikkerhedsniveau på højde med de krav, som stilles i ISO 27001 og i Bekendtgørelse om sikkerheds-foranstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning, bekendtgørelse nr. 201 af 22. marts 2001 (Sikkerhedsbekendtgørelsen), samt på særligt veldefinerede områder, hvor der er specielle lovkrav, aftaleretslige forhold eller særlig risiko. ISO27001 er en international standard til styring af informationssikkerhed. ISO'en er valgt som afløser DS484 som kommunens sikkerhedsstandard efter DS484. Fastholdelse og udbygning af et højt sikkerhedsniveau er en væsentlig forudsætning for, at Fredensborg Kommune fremstår troværdig. For at fastholde Fredensborg Kommunes troværdighed skal det sikres, at information behandles med fornøden fortrolighed, og at der sker fuldstændig, nøjagtig og rettidig behandling af godkendte transaktioner. IT-systemer betragtes, næstefter medarbejderne, som Fredensborg Kommunes mest kritiske ressource. Der lægges derfor vægt på driftsikkerhed, kvalitet, overholdelse af lovgivningskrav og på at systemerne er brugervenlige, dvs. uden unødigt besværlige sikkerhedsforanstaltninger. Der skal skabes et effektivt værn mod IT-sikkerhedsmæssige trusler, således at Fredensborg Kommunes image og medarbejdernes tryghed og arbejdsvilkår sikres bedst muligt. Beskyttelsen skal være vendt imod såvel naturgiven som tekniske og menneskeskabte trusler. Alle personer betragtes som værende mulig årsag til brud på sikkerheden; dvs. at ingen persongruppe skal være hævet over sikkerhedsbestemmelserne. Målene er derfor at: Opnå høj driftsikkerhed med høje oppetidsprocenter og minimeret risiko for større nedbrud og datatab = TILGÆNGELIGHED Opnå korrekt funktion af systemerne med minimeret risiko for manipulation af og fejl i såvel data som systemer = INTEGRITET og Opnå fortrolig behandling, transmission og opbevaring af data = FORTROLIGHED. Ovenstående mål skal konkretiseres i aftaler om service niveau i "Service Level Agreements" (SLAs) og kontrakter overfor samarbejdspartnere. Regler og retningslinjer fra informationssikkerhedspolitikken skal løbende indarbejdes i de relevante gældende regler Håndbog for Informationssikkerhed og på personalepolitikkens område. Sikkerhedskonceptet omfatter følgende: En informationssikkerhedspolitik, der godkendes af byrådet på baggrund af indstilling fra Direktionen En Informationssikkerhedshåndbog, der uddyber informationssikkerhedspolitikken, fastlægges af Styregruppen og Sikkerhedsinstrukser og -procedurer, som formuleres af respektive ejere og afdelingsledere ud fra krav og retningslinier i Informationssikkerhedshåndbog. Politikken er gældende for alle Fredensborg Kommunes informationsrelaterede aktiviteter, uanset om disse udføres af ansatte i Kommunen eller af samarbejdspartnere. Informationssikkerhedspolitikken har gyldighed for alle ansatte i Fredensborg Kommune og i institutioner, hvor der er indgået driftsoverenskomst for al anvendelse af Fredensborg Kommunes informationsaktiver. Organisation og ansvar Byrådet har ansvaret for at godkende og vedligeholde informationssikkerhedspolitikken. Side 1 af 5

Direktionen har ansvaret for at fastlægge et passende sikkerhedsniveau for informationsaktiverne baseret på en overordnet risikovurdering. Kommunaldirektøren er Fredensborg Kommunes øverste informationssikkerhedsansvarlige og har ansvaret for at udarbejde og føre tilsyn med informationssikkerhedspolitikken. Herudover er der en række roller med ansvar og tilhørende myndighed, som er nærmere beskrevet i bilag 1 til denne politik. Beredskabsplanlægning Katastrofer søges undgået gennem en veltilrettelagt fysisk sikring og overvågning af bygninger, tekniske installationer og IT-udstyr. Omfanget af disse foranstaltninger besluttes ud fra en afvejning af risici i mod sikringsomkostninger og udmøntes i aftale om service niveau i SLA. I Fredensborg Kommunes beredskabsplan skal Kommunens og partnernes ansvar for sikkerhedskopiering og nødplaner entydigt præciseres. Beredskabsplanerne skal omfatte: Skadebegrænsende tiltag Etablering af temporære nødløsninger og Genetablering af permanent løsning. Beredskabsplanerne skal ajourføres og testes løbende mindst en gang om året. Sanktionering Medarbejdere, der bryder de gældende informationssikkerhedsbestemmelser i Fredensborg Kommune, kan straffes disciplinært. De nærmere regler om dette fastsættes i overensstemmelse med den gældende personalepolitik Ikrafttrædelse Informationssikkerhedspolitikken er godkendt af Fredensborg Byråd den 29. august 2007. Bilag og Håndbog til Informationssikkerheds-politikken er løbenede opdateret opdateret i forbindelse med organisatoriske ændringer sendes 1. februar 2016. Bilag 1. Organisation og ansvar Direktørområderne Den enkelte Direktør har ansvar for at: informationssikkerhedspolitikken og de regler, der er relevante for direktørens ansvarsområde, er kendte og efterleves medarbejderne gennem uddannelse og udvikling opnår sikkerhedsbevidsthed om nødvendigheden af at overholde de sikkerhedsmæssige retningslinjer der, efter behov, udarbejdes yderligere dokumentation vedr. sikkerhed for de enkelte afdelinger der ved installation af nye systemer gennemføres en forudgående sikkerheds-/risikovurdering koordinere opklaringsarbejdet ved konstateret eller begrundet mistanke om sikkerhedsbrud. Resultatet rapporteres til Journalen og retningslinierne for ansættelse, introduktion, løbende vurdering, funktionsskift og afvikling af medarbejdere overholdes. Der skal tilstræbes uafhængighed af enkeltpersoner gennem etablering af personbackup for de medarbejdere, der er alene om at dække specialer eller systemer af væsentlig betydning for Fredensborg Kommune. Som supplement hertil skal dokumentationen hørende til disse områder også holdes ajourført og evt. udbygges. Styregruppen for Informationssikkerhed Side 2 af 5

Styregruppen er normgivende og fastsætter på grundlag af den vedtagne informationssikkerhedspolitik de principper/retningslinier, der skal sikre opfyldelse af målene. Styregruppen behandler alle sikkerhedsspørgsmål af principiel karakter. Styregruppen udarbejder en årlig vurdering til den øverste sikkerhedsansvarlige af informationssikkerhedspolitikken og de tilknyttede sikkerhedsretningslinier, herunder at disse lever op til de eksterne forpligtelser udtrykt i lovgivning og kontrakter/aftaler. Styregruppen vurderer samtidig, om der er behov for fornyet risikovurdering/ konsekvensanalyse. Styregruppen kan ad hoc lade sig supplere med faglig assistance. System-ejere System-ejere, der er ansvarlig for det enkelte fagsystem, softwareprodukt o. lign. har ansvar for at: der udarbejdes en kravspecifikation, som tager eksplicit hensyn til sikkerhedsmæssige forhold forud for Data ejeren har ansvar for at: der udarbejdes en risikovurdering i henhold til kravene hertil (for systemtilknyttede data i samarbejde med system-ejeren) der inden indrapportering af data i systemer foreligger konkrete regler og procedurer for regulering og Ejeren af det fysiske aktiv har ansvar for at: der udarbejdes en kravspecifikation ved placering, indretning, forandring m.v. som tager eksplicit hensyn til enhver systemudvikling/-ændring/-anskaffelse der udarbejdes en risikovurdering i henhold til kravene hertil retningslinierne følges ved enhver ændring af systemet der ved idriftsætning af systemet foreligger konkrete regler og procedurer for regulering og administration af adgangsforholdene, og at disse er i overensstemmelse med de principielle krav hertil autorisere adgangen til systemet i henhold til retningslinierne herfor og foretage opfølgning og rapportering af sikkerhedsbrud til Styregruppen. I de situationer, hvor der ikke er funktionsadskillelse (autorisation/ administration), kompenseres med andre sikkerhedsforanstaltninger, som udmøntes i retningslinierne og konkret i regler og procedurer for systemadministrationen. Data ejere administration af adgangsforholdene, og at disse er i overensstemmelse med de principielle krav hertil autorisere adgangen til data i henhold til retningslinierne herfor og foretage opfølgning og rapportering af sikkerhedsbrud til Styregruppen. I de situationer, hvor der ikke er funktionsadskillelse (autorisation/ administration), kompenseres med andre sikkerhedsforanstaltninger, som udmøntes i retningslinierne og konkret i regler og procedurer for dataadministrationen. Ejere af fysiske aktiver Alle fysiske aktiver får udpeget/tildelt en ejer. Såfremt aktivet er omfattet af en aftale om ekstern drift (hosting), tages der hensyn hertil i aftalegrundlaget med samarbejdspartneren, f.eks. ved at pålægge samarbejdspartneren at foretage forskellige former for kontrol og opfølgning, og rapportere herom. sikkerhedsmæssige forhold. der udarbejdes en risikovurdering i henhold til kravene hertil der ved ibrugtagning af lokaler/udstyr foreligger konkrete regler og procedurer for regulering og administration af adgangsforholdene, og at disse er i overensstemmelse med de principielle krav hertil autorisere adgangen til lokalerne/ udstyret i henhold til retningslinierne herfor og Side 3 af 5

foretage opfølgning og rapportering af sikkerhedsbrud til Styregruppen. I de situationer, hvor der ikke er funktionsadskillelse (autorisation/ administration), kompenseres med andre sikkerhedsforanstaltninger, som udmøntes i retningslinierne og konkret i regler og procedurer for fysisk sikkerhed og adgangsadministrationen. Medarbejdere Funktionsadskillelse er det bærende kontrolprincip på såvel person- som organisationsplanet. Hvor dette ikke er praktisk eller økonomisk hensigtsmæssigt, skal kompenserende kontroller indføres. Den enkelte medarbejder har ansvar for at: overholde informationssikkerhedspolitikken konkretiseret i God Administrativ Praksis og de regler, der er relevante for den enkeltes arbejdsopgaver og rapportere om eventuelle sikkerhedsbrud eller mistanke herom til nærmeste leder og til Styregruppen Samarbejdspartnere Samarbejdspartnere har en meget væsentlig del af ansvaret for at det valgte sikkerhedsniveau etableres og opretholdes. Samarbejdspartnerne har ansvar for at: Fredensborg Kommunes informationssikkerhedspolitik og de regler, der er relevante for deres enhver tid afspejler krav fra Fredensborg Kommune medarbejderne gennem uddannelse og udvikling opnår sikkerhedsbevidsthed om nødvendigheden af at ansvarsområde, er kendte og efterleves, mest hensigtsmæssigt ved at egne sikkerhedspolitikker og regler til overholde de sikkerhedsmæssige retningslinjer, herunder tiltrædelseserklæringen der, efter behov, udarbejdes yderligere dokumentation vedr. sikkerhed for samarbejdspartnerens område der ved installation af nye og modifikation af eksisterende interne systemer og komponenter med påvirkningsmulighed til Fredensborg Kommunes informationsaktiver gennemføres en forudgående risiko- /sikkerhedsvurdering og koordinere opklaringsarbejdet ved konstateret eller begrundet mistanke om sikkerhedsbrud. Hændelsen og resultatet rapporteres via egen sikkerhedsorganisation til Journalen. ISO 27000X ISO27001 er en international standard til styring af informationssikkerhed. ISO27000-serien består af en række standarder med indbyrdes relationer. Nogle af disse standarder opstiller krav (normative), mens andre er vejledende i forhold til forskellige aspekter af implementering af et ledelsessystem for informationssikkerhed. Det er ikke alle disse standarder, der er udkommet, og der kommer stadig nye til. Normative og vejledende krav ISO27001 er en normativ standard det vil sige, at den stiller krav i en serie af standarder kaldet 27000- familien af standarder. Den anden normative standard er ISO27006. I familien indgår der udover de to normative standarder en række standarder med retningslinjer for, hvordan en organisation kan implementere og overholde de normative standarder. Nedenfor er en oversigt over de vigtigste standarder i 2700X-familien: ISO27001 Indeholder normative krav til, hvorledes et informationssikkerhedsledelsessystem skal implementeres og vedligehold ISO27002 Indeholder en liste af alment anerkendte retningslinier for kontroller, der kan bruges som hjælp ved udvælgelsen og implementeringen af de kontroller, der er nødvendige for at opnå passende informationssikkerhed i en given organisation ISO27003 Indeholder retningslinjer for implementering af ISO/IEC 27001 Side 4 af 5

ISO27004 Indeholder retningslinjer for, hvordan man kan måle effektiviteten af et informationssikkerhedsledelsessystem ISO27005 Indeholder retningslinjer for risikovurdering og -styring ISO27006 Indeholder normative krav til organisationer, der skal certificere andre organisationer efter ISO/IEC 27001 ISO27007 Indeholder retningslinjer for, hvordan man kan udføre revision af et informationssikkerhedsledelsessystem Hvorfor ISO27001? Der er flere grunde til valget af ISO27001 som sikkerhedsstandard: standarden tager udgangspunkt i den enkelte kommunes risikoprofil og lægger op til, at der implementeres netop de sikkerhedsforanstaltninger og kontrolprocedurer, der er passende for den enkelte institution, ISO27001-standarden lægger stor vægt på ledelsens engagement og bevidste stillingtagen til hvilke procedurer, der skal indføres og hvordan, Standarden indeholder en liste af mulige kontroller, der kan indføres for at opnå et passende sikkerhedsniveau, men den lægger vægt på, at listen ikke er udtømmende, så der kan være organisationer, der skal implementere flere eller andre kontroller. Det fordrer en vis grad af modenhed i den organisation, der anvender ISO27001, men giver også mulighed for løbende tilpasning i takt med ændringer i organisationen, teknologi og trusselsbilledet, Den internationale standard har en fleksibilitet i forhold til, at den kan anvendes sammen med andre rammeværk for informationssikkerhed som f.eks. CoBit eller ISF standard of good practice, ISO27001 er en international standard, hvilket letter samarbejdet med andre lande og i højere grad sikrer den nødvendige vedligeholdelse af standarden. Vedligeholdelse af ISO-standarder varetages af internationalt sammensatte ekspertgrupper, der med jævne mellemrum vurderer behovet for revision, Standard sikrer ensartede sikkerhedsprocesser. Side 5 af 5

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback